Spamhaus, en ideell organisation som arbetar för att stoppa spam på nätet genom att tillhandahålla svartlistning av ip-adresser som används av skräppostdistributörer, utsattes i mars för en massiv ddos-attack.
Angreppet inleddes med en attack där en så kallade packet flood på 10 gigabit per sekund räckte för att Spamhaus webbplats skulle tappa kontakten med internet.


300 gigabit per sekund

Spamhaus vände sig till content delivery-företaget Cloudflare för hjälp. Cloudflares nätverk lyckades svälja de efterföljande attackerna som blev allt kraftigare och som mest var uppe i 75 gigabit per sekund, och i någon dag trodde man att man lyckats avvärja attacken. Men så tog den fart igen, med en styrka som aldrig tidigare skådats, med toppar kring 300 gigabit per sekund.

Cloudflare tvingades fatta det mycket ovanliga beslutet att tillfälligt skära av en sina stora hubbar, London, från sitt nätverk. Man förklarade den åtgärden på Twitter med att man utsatts för en mycket kraftig attack.
Frågan är om Spamhaus-attacken och liknande angrepp är enstaka undantag, eller om vi ser en tydlig trend där angriparna allt mer utnyttjar dns-servrar för att avsevärt förstärka sina attacker.

Utvecklingen har nått dns

Nicklas Molander är regionchef för Sourcefire som tillhandahåller avancerad nätverksövervakning och skydd. Han pekar på att utvecklingen gått från att använda sin egen dator i svaga attacker till att utnyttja botnät, och till att man i dag börjat använda dns-resolvers (program­vara som används för dns-uppslagningar) som attackyta.

Hur går den här typ­en av ddos-attacker till egentligen?
– Man förfalskar ett företags ip-adress, sedan ställer man en rad enkla frågor med väldigt komplicerade svar till vanliga dns-servrar. De svaren skickas då mot det utsatta företagets webbsida, och eftersom dessa attacker blir enorma kan inte de vanliga skydden stå emot.

Attackerna kan få förödande konsekvenser för de som drabbas.

– Vi har redan sett attacker på över 300 gigabit per sekund, och egentligen finns det ingen övre gräns. En så kallad dns amplification-attack kan ge allt från tio upp till över trehundra gånger så hög effekt som den ursprungliga förfrågan. Rent hypotetiskt skulle detta kunna slå ut en hel nations internettrafik. Jag tycker vi ska ta detta hot på största allvar.

Lars Berggren på it-säkerhetsföretaget Checkpoint håller med om att vi visserligen sett allt kraftfullare attacker, men menar att det är för tidigt att kalla det en trend.

– Vår interna statistik visar nämligen motsatsen, att majoriteten av ddos-attackerna som tar ner företagens tjänster är så kallade applikationsbaserade attacker där det inte är en fylld internetpipa som är den faktiska orsaken till de sänkta systemen. Det är ganska vanligt förekommande att många företag och organisationer tror att det är en fylld internetpipa som varit orsaken till deras driftstopp, när den bakomliggande orsaken varit en applikationsbaserad attack.

Han menar att många som har ett bristfälligt skydd mot ddos-attacker har svårt att logga och verifiera vilken typ av attack de blivit utsatta för.

– En traditionell brandvägg kommer inte kunna se dessa attackmönster, och därför antar många felaktigt att de blivit attackerade av en väldigt stor mängd trafik.

Sida 1 / 2

Innehållsförteckning